Descubierto un agujero de seguridad en el servidor web Apache

Descubierto un agujero de seguridad en el servidor web Apache
El modulo Mod_php de Apache permite el uso de scripts y conexiones a bases de datos a través de páginas php. La vulnerabilidad anunciada afecta a los sistemas que hagan uso de mod_php en las versiones 4.2.x y 4.3.x con Apache 2.0.x. El problema reside en un fallo en el tratamiento de descriptores de archivo de forma que un usuario local podrá tomar el control del servicio Apache https.

El modulo filtra algunos descriptores de archivos al proceso PHP. Si un script efectúa una llamada a una aplicación externa a través de las funciones passthru(), exec(), o system(), se filtrarán los descriptores al programa que realiza la llamada. El descriptor de fichero del puerto https abierto se encuentra entre los afectados, de forma que cualquier usuario local, o un usuario remoto con permiso para subir ejecutables podrá robar las sesiones https.

Hasta la fecha no se ha publicado ningún parche o actualización que evite este problema, por lo que como contramedida se recomienda realizar la llamada con el parámetro CLOEXEC, que evita pasar descriptores de archivo privilegiados.

 

Comentarios (4)

Javier Raúl Ortiz Haber
06 de Enero del 2004
Cuando encontraron más agujeros en Internet Explorer, lo dije, Windows es un hueco, un inmenso agujero. Propongo que apartir de ahora no se les llame \"parches\" a los programas que \"tapan\" estos errores. Un nombre adecuado es \"tapón\". Solo Dios sabe (quizas también Bill Gates) cuantos fallos y agujeros de seguridad tiene Windows.
killer
07 de Enero del 2004
No Hombre!!, estate tranquilo, esto del software lo hacemos los humanos, ya que, si los hiciera Dios, serian perfectos.

OK, la noticia es del 05-Ene-2004, hoy es 06-Ene-2004, espera unas horas mas a que los programadores terminen el PARCHE, toma en cuenta que es dia de reyes en todo el mundo catolico, almenos.

Saludos
Bill Gates
07 de Enero del 2004
No se discute que IIS o Apache tengan mas o menos agujeros de seguridad, lo que se puede deducir es que a IIS es mas utilizado y por lo tanto mas conocido que Apache. Ahora que Apache se ha estado usando mas, pues mas probable es que se le encuentren errores. Asi de simple.
killer
09 de Enero del 2004
... que la basura de IIS es mas usado que Apache?, se ve que has vivido en el planeta de los simios, checate este <a href='http://news.netcraft.com/archives/web_server_survey.html'>LINK</a>, acto seguido intenten desacreditar a NETCRAFT.

soquetes

Comenta esta noticia

Nombre
Correo (no se visualiza en la web)
Comentarios